Connect with us

Hi, what are you looking for?

Notebookspec

IT NEWS

Microsoft ออกแพตช์ประจำเดือนกันยายน 2025 อุดช่องโหว่ 81 รายการ และอีก 2 Zero-Day

Microsoft Patch Tuesday

ภาพรวม Patch Tuesday กันยายน 2025

เมื่อวันที่ 9 กันยายน 2025 ที่ผ่านมา Microsoft ได้ปล่อยอัปเดตความปลอดภัยประจำเดือนหรือที่เรียกว่า Patch Tuesday ซึ่งในรอบนี้มีการแก้ไขช่องโหว่รวมทั้งหมด 81 รายการ โดยมีช่องโหว่ร้ายแรง (Critical) อยู่ 9 รายการ และที่น่าจับตามองคือมีการแก้ไข 2 Zero-Day ที่ถูกเปิดเผยสู่สาธารณะแล้ว

Advertisement

การจัดกลุ่มช่องโหว่ในครั้งนี้มีดังนี้:

  • 41 ช่องโหว่ Elevation of Privilege (ยกระดับสิทธิ์)
  • 2 ช่องโหว่ Security Feature Bypass
  • 22 ช่องโหว่ Remote Code Execution (RCE)
  • 16 ช่องโหว่ Information Disclosure
  • 3 ช่องโหว่ Denial of Service (DoS)
  • 1 ช่องโหว่ Spoofing

2 ช่องโหว่ Zero-Day ที่ถูกแก้ไข

1. CVE-2025-55234 – Windows SMB Elevation of Privilege

ช่องโหว่นี้อยู่ใน SMB Server ทำให้แฮกเกอร์สามารถทำ Relay Attack และยกระดับสิทธิ์ผู้ใช้ได้ หาก SMB Server ไม่ได้เปิดใช้งานการป้องกันอย่างถูกต้อง

แนะนำให้ผู้ดูแลระบบ:

  • เปิดใช้งาน SMB Server Signing
  • เปิดใช้งาน SMB Server Extended Protection for Authentication (EPA)
  • เปิด Auditing เพื่อตรวจสอบความเข้ากันได้กับระบบเก่า ก่อนเปิดบังคับใช้จริง

2. CVE-2024-21907 – Newtonsoft.Json (SQL Server)

ช่องโหว่นี้เกิดจากการจัดการ Exceptional Conditions ที่ไม่ถูกต้องในไลบรารี Newtonsoft.Json เวอร์ชันเก่า (ก่อน 13.0.1) ที่ถูกใช้งานใน Microsoft SQL Server

แฮกเกอร์สามารถส่งข้อมูลที่ถูกออกแบบมาเฉพาะเพื่อทำให้เกิด StackOverflow Exception และทำให้ระบบ Denial of Service (DoS) ได้

Microsoft ได้รวมแพตช์ที่อัปเดต Newtonsoft.Json แล้วไว้ใน SQL Server รุ่นใหม่ที่ปล่อยในรอบนี้


ช่องโหว่ร้ายแรง (Critical) ที่น่าจับตา

ในรอบนี้มีช่องโหว่ Critical หลายจุด โดยเฉพาะกลุ่มที่เป็น Remote Code Execution (RCE) ได้แก่:

  • Microsoft Office (Excel, PowerPoint, Visio, Word, SharePoint) มีช่องโหว่หลายรายการที่เปิดโอกาสให้รันโค้ดอันตรายจากไฟล์ที่สร้างขึ้นพิเศษ
  • Graphics Kernel และ Windows Win32K มีช่องโหว่ RCE ที่อาจถูกใช้โจมตีผ่านการเรนเดอร์กราฟิก
  • Windows NTFS และ SMB Client ที่สามารถทำให้ผู้โจมตีรันโค้ดในเครื่องเหยื่อได้

อัปเดตจากผู้พัฒนารายอื่นในเดือนกันยายน 2025

ไม่เพียงแค่ Microsoft เท่านั้น เดือนนี้ยังมีการอัปเดตจากหลายบริษัท เช่น:

  • Adobe อุดช่องโหว่ SessionReaper ที่กระทบ Magento eCommerce
  • Argo แก้ช่องโหว่ใน Argo CD ที่อาจทำให้ Token ระดับต่ำเข้าถึง Credential ของโปรเจกต์ได้
  • Cisco ปล่อยแพตช์ให้ WebEx และ ASA
  • Google อัปเดต Android กันยายน 2025 แก้ 84 ช่องโหว่ รวมถึง 2 Zero-Day
  • SAP อุดช่องโหว่ร้ายแรงใน Netweaver
  • Sitecore แก้ Zero-Day ที่ถูกใช้โจมตีจริง (CVE-2025-53690)
  • TP-Link ยืนยัน Zero-Day ใหม่ในเราเตอร์บางรุ่น กำลังเตรียมแพตช์ให้ลูกค้าในสหรัฐ

สรุป

Patch Tuesday กันยายน 2025 ถือเป็นรอบที่ใหญ่มาก โดยรวมทั้งหมด 81 ช่องโหว่ และมี 2 Zero-Day ที่ผู้ใช้ควรรีบติดตั้งแพตช์ทันที โดยเฉพาะองค์กรที่ใช้งาน Windows SMB Server และ Microsoft SQL Server เพื่อป้องกันความเสี่ยงจากการโจมตี

สำหรับผู้ใช้ทั่วไป แนะนำให้อัปเดต Windows ผ่าน Windows Update ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อความปลอดภัยของระบบ

ที่มา: bleepingcomputer

Click to comment

บทความน่าสนใจ

Buyer's Guide

อุปกรณ์สำคัญอีกชิ้นบนโต๊ะคอมอย่างไมโครโฟนสำหรับสตรีมเมอร์และครีเอเตอร์เป็นของจำเป็นควรลงทุนเพื่อให้คุณภาพเสียงเวลาทำคอนเทนต์คมชัดยิ่งขึ้น ถึงบางคนจะแย้งว่าไมค์ของหูฟังเกมมิ่งก็ใช้ได้ แต่คุณภาพยังไงก็ต่างกันโดยเฉพาะภาครับเสียงขนาดใหญ่เก็บรายละเอียดได้ดีแถมปรับจูนเสียงได้ดีขึ้นทั้งด้วยตัวฮาร์ดแวร์หรือซอฟท์แวร์เสริมก็ตาม แถมบางรุ่นก็มีฟีเจอร์เพิ่มเติมเข้ามาให้อย่างการดัดเสียงด้วย AI และเซ็ตโทนเสียงให้เหมาะกับงานแบบต่างๆ ได้ ไม่ว่าจะเล่นเกม, พากย์เสียง, ร้องเพลง ฯลฯ ก็ได้ ซึ่งเรื่องควรทราบเกี่ยวกับไมค์ตั้งโต๊ะมีทั้งเรื่องแพตเทิร์นรับเสียง, การตอบสนองความถี่, การเชื่อมต่อ ฯลฯ ให้พิจารณาเพิ่มด้วย ถ้าใครต้องการทราบข้อมูลโดยละเอียดสามารถอ่านเพิ่มเติมในบทความนี้ได้เลย เลือกไมโครโฟนอย่างไรให้ได้ของดีเสียงใส? 7 ไมโครโฟนน่าใช้ ต่อคอมคุยกับเพื่อนแล้วเสียงชัด ร้องเพลงก็ได้อัด Podcast...

PR-News

การทำงานสร้างสรรค์คอนเทนต์ที่ต้องใช้ทั้งความครีเอทีฟ และอุปกรณ์คุณภาพสูงในการประมวลผลกำลังเป็นอีกหนึ่งเทรนด์ที่นิยมและน่าจับตามอง ซึ่งภายในงาน Commart Ultra Force ครั้งนี้ NVIDIA ได้นำประสบการณ์การทำงานจริงของแพล็ตฟอร์ม NVIDIA Studio มาถ่ายทอดผ่านกิจกรรมสาธิตบนเวทีและพื้นที่จัดแสดง เพื่อให้ผู้เข้าชมได้เห็นว่า AI Workflow สามารถเกิดขึ้นได้บนเครื่องพีซีที่วางอยู่ตรงหน้า ไม่ว่าจะเป็นเดสก์ท็อปหรือแล็ปท็อปที่ใช้ GeForce RTX 50 Series GPU และทำงานบน Windows...

รีวิว MSI

MSI Stealth 16 AI+ B3WI เกมมิ่งโน้ตบุ๊คในคราบโน้ตบุ๊คทำงานสุดเรียบหรู พลัง Intel Core Ultra 9 386H จับคู่ NVIDIA GeForce RTX 5080 แรงหายห่วงและได้ฟีเจอร์จัดเต็ม! แม้ว่ารูปลักษณ์ภายนอกของ MSI Stealth 16 AI+ B3WI...

PR-News

ครบครันทั้งประสิทธิภาพ ความคล่องตัว และศักยภาพสำหรับการทำงานยุคAI กรุงเทพฯ 1 กรกฎาคม 2569 – ไมโครซอฟท์ ประกาศวางจำหน่าย Surface Pro และ Surface Laptop เจเนอเรชันล่าสุดในไทยอย่างเป็นทางการ ทรงพลังด้วยชิปประมวลผล Snapdragon® X2 สุดล้ำที่ออกแบบมาเพื่อมอบสมรรถนะสูงสุด ความยืดหยุ่นในการใช้งาน และการประมวลผล AI ในตัวเครื่องได้อย่างต่อเนื่อง พลิกโฉมการใช้งานคอมพิวเตอร์ส่วนบุคคล...

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว

Privacy Preferences

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
Manage Consent Preferences
  • คุกกี้ที่จำเป็น
    Always Active

    ประเภทของคุกกี้มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้ได้อย่างเป็นปกติ และเข้าชมเว็บไซต์ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้

บันทึก